Cisco Security Advisory: Cisco IOS Software Multiple Features IP Sockets Vulnerability

2009 年 3 月 25 日 - ライター翻訳版
その他のバージョン: PDFpdf | 英語版 (2009 年 3 月 25 日) | フィードバック

Advisory ID: cisco-sa-20090325-ip

http://www.cisco.com/warp/public/707/cisco-sa-20090325-ip.shtml

本翻訳は、原文の機械翻訳後に技術者が簡易レビューをしたものです。
日本語による情報は、英語による原文の非公式な翻訳 であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

Revision 1.4

Last Updated 2009 June 25 2200 UTC (GMT)

For Public Release 2009 March 25 1600 UTC (GMT)


要約

IPソケット処理の脆弱性により、Cisco IOSソフトウェアのいくつかの機能が有効であるとき、デバイスはサービス拒絶攻撃に対し脆弱となりえます。 巧妙に細工された TCP/IPパケットのシークエンスにより次のような結果が引き起こされる可能性があります:

  • 定義された影響を受ける機能での新しい接続やセッションを受け入れ停止
  • デバイスのメモリの枯渇
  • デバイスにおける長時間の CPU使用率高騰状態
  • デバイスのリロード

Ciscoはこの脆弱性に対処する無償のソフトアップデートをリリースしました。

脆弱性を軽減するいくつかの緩和策が、このアドバイザリの "回避策" セクションで説明されています。

このアドバイザリは次のリンクに掲載されます: http://www.cisco.com/cisco/web/support/JP/106/1065/1065617_cisco-sa-20090325-ip-j.html

注:2009年 3月 25日のIOSアドバイザリバンドル公開には 8つの Security Advisory が含まれています。それらは全て Cisco IOS ソフトウェアの脆弱性に対処するものです。各アドバイザリには、そのアドバイザリで記述された脆弱性を解決するリリースを記載しています。個々の公開リンクは下記に掲載されています:

該当製品

脆弱性が存在する製品

Cisco IOSソフトウェアおよび Cisco IOS XEのソフトウェアの影響を受けるバージョンを実行しているデバイスで、以下の機能のいずれかを使用する場合、本脆弱性の影響を受ける可能性があります。 影響を受ける機能がデバイスで有効であるかどうかの確認についての詳細はこのアドバイザリの" 詳細 "のセクションにあります。

  • Cisco Unified Communications Manager Express
  • SIP Gateway Signaling Support Over Transport Layer Security (TLS) Transport
  • Secure Signaling and Media Encryption
  • Blocks Extensible Exchange Protocol (BEEP)
  • Network Admission Control HTTP Authentication Proxy
  • EAPoUDP, Dot1x, および MAC Authentication Bypass における Per-ser URL Redirect
  • Distributed Director での HTTP Redirect
  • DNS (TCP mode のみ)

Cisco 製品で稼動中の Cisco IOS ソフトウェア リリースを確認するには、 機器にログインし show version コマンドを 実行してシステムバナーを表示させます。Cisco IOS ソフトウェアは、 "Internetwork Operating System Software" もしくは "Cisco IOS Software" と表示されます。 その後ろにイメージ名が括弧の間に表示され、 続いて "Version" と Cisco IOS ソフトウエア リリース名が表示されます。 他の Cisco 機器では、 show version コマンドがない場合や、 異なる表示をする場合があります。

以下の例では、Cisco 製品にて、IOSリリース 12.3(26) が稼動し、そのイメージ名が C2500-IS-L であることを示しています:

Router#show version
Cisco Internetwork Operating System Software
IOS (tm) 2500 Software (C2500-IS-L), Version 12.3(26), RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2008 by cisco Systems, Inc.
Compiled Mon 17-Mar-08 14:39 by dchih

<output truncated>

以下の例では、Cisco 製品にて、IOSリリース 12.4 (20)T が稼動し、そのイメージ名が C1841-ADVENTERPRISEK9-M であることを示しています:

Router#show version
Cisco IOS Software, 1841 Software (C1841-ADVENTERPRISEK9-M), Version 12.4(20)T, RELEASE SOFTWARE (fc3)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2008 by Cisco Systems, Inc.
Compiled Thu 10-Jul-08 20:25 by prod_rel_team

<output truncated>

Cisco IOS ソフトウエアのリリース命名規則の追加情報は以下のリンクの "White Paper: Cisco IOS Reference Guide"で確認できます: http://www.cisco.com/warp/public/620/1.html

脆弱性が存在しない製品

以下の製品はこの脆弱性の影響を受けません。

  • Cisco IOS XR ソフトウェア
  • Cisco 500 Series Wireless Express Access Points
  • Cisco Aironet 1250 Series
  • Cisco Aironet 1240 AG Series
  • Cisco Aironet 1230 AG Series
  • Cisco Aironet 1200 Series
  • Cisco Aironet 1140 Series
  • Cisco Aironet 1130 AG Series
  • Cisco Aironet 1100 Series
  • Cisco Aironet 1500 Series
  • Cisco Aironet 1400 Series
  • Cisco Aironet 1300 Series
  • Cisco AP801 (in 860 and 880 series ISRs)
  • Cisco WMIC (in Cisco 3200 MARs)

他の Cisco 製品または Cisco IOSソフトウェアおよび Cisco IOS XEのソフトウェア上で動作する機能において本アドバイザリーの影響を受けるものは現在確認されていません。

詳細

この脆弱性を利用するためには、このセクションで説明されているいずれかの機能に関連付けされた TACポート番号に対して TCP 3ウェイハンドシェイクを完了させている必要があります。

Cisco Unified Communications Manager Express

複数の Cisco Unified Communications Manager Expressサービスについて、以下のようなコンフィギュレーションに脆弱性が存在します:

certificate authority proxy function (CAPF) サーバ設定

次の例は脆弱なCAPFサーバの設定を示したものです:

capf-server
auth-mode null-string
cert-enroll-trustpoint root password 1 104D000A061843595F
trustpoint-label cme_cert
source-addr 10.0.0.1

CAPFサーバで使用されるデフォルトの TCPポートは 3804です。

CAPFサーバについてのより詳しい情報は Cisco Unified Communications Manager Express System Administrator Guide を参照して下さい。http://www.cisco.com/en/US/docs/voice_ip_comm/cucme/admin/configuration/guide/cmeauth.html#wp1085744

Telephony-service セキュリティパラメータ設定

Telephony-service において "device-security-mode"を用いてセキュリティパラメータが設定される場合、脆弱性が存在します。以下は telephony-service のセキュリティパラメータの脆弱な 3つの設定例を示したものです:

ephone 1
 device-security-mode encrypted

ephone 2
 device-security-mode authenticated

ephone 3
 device-security-mode none

使用される TCPポートは telephony-service 設定コマンドの"ip source-address <address> port <port-number>"によって定義されます。

Telephony-serviceのセキュリティパラメータについてのより詳しい情報は Cisco Unified Communications Manager Express System Administrator Guide を参照して下さい。http://www.cisco.com/en/US/docs/voice_ip_comm/cucme/admin/configuration/guide/cmeauth.html#wp1080079

グローバルでの telephony-service または call-manager-fallback コマンド設定

グローバルで "telephony-service" または "call-manager-fallback" コマンドが設定されていて、telephony-serviceコンフィギュレーションモードまたは call-manager-fallbackコンフィギュレーションモードに何らかのサブ コマンドが設定されている Cisco IOS コンフィギュレーションには脆弱性が存在します。次の例は脆弱な設定を示したものです:

telephony-service
 ip source-address 192.168.0.1 port 2011

or

call-manager-fallback
 ip source-address 192.168.0.1 port 2011

使用される TCPポートは "ip source-address <address> port <port-number>" コマンドにより定義されます。

telephony service と call-manager-fallback についてのより詳しい情報は Cisco Unified Communications Manager Express System Administrator Guide を参照して下さい。http://www.cisco.com/en/US/docs/voice_ip_comm/cucme/admin/configuration/guide/cmesystm.html

SIP Gateway Signaling Support over TLS Transport

注: SIPが有効となっている機器をお持ちのお客様はこちらのドキュメントもご参照ください: "Cisco Security Advisory: Cisco IOS Session Initiation Protocol Denial of Service Vulnerability" http://www.cisco.com/warp/public/707/cisco-sa-20090325-sip.html

SIP Gateway Signaling Support over TLS Transport を設定しているデバイスには脆弱性が存在します。次の例は、脆弱なコンフィギュレーションを示したものです:

voice service voip 
 sip
  session transport tcp tls
  url sips

-- or --

dial-peer voice 3456 voip
 voice-class sip url sips
 session protocol sipv2
 session transport tcp tls

SIP Gateway Signaling Support over TLS Transportを正しく機能させるために、管理者は最初に次の設定を使用してトラストポイントを定義しなければなりません:

sip-ua
     crypto signaling default trustpoint example_trustpoint_name

SIP Gateway Signaling Support over TLS Transport 機能で使用されるデフォルトの TCPポートは 5061です。

SIP gateway signaling support over TLS transport についてのより詳しい情報は、Cisco IOS Software Release 12.4T feature guide を参照して下さい。http://www.cisco.com/en/US/docs/ios/12_4t/12_4t11/FeatTLS.html

Secure Signaling and Media Encryption

Skinny Call Control Protocol (SCCP) を使用した Media and Signaling Encryption (SRTP/TLS) on DSP Farm Conferencing 機能または Secure Signaling and Media Encryption for analog phones 機能を設定しているデバイスには脆弱性が存在します。

次の例は、異なる 3種類の脆弱なセキュア DSP farm の設定を示したものです。 完全な設定には証明書や SCCP 設定など他にいくつかの設定が必要となりますが、これらの部分は簡略にするために省略しています。

dspfarm profile 2 transcode security
 trustpoint 2851ClientMina
 codec g711ulaw
 codec g711alaw
 codec g729ar8
 codec g729abr8
 codec gsmfr
 codec g729r8
 codec g729br8
 maximum sessions 3
 associate application SCCP
dspfarm profile 3 conference security
 trustpoint sec2800-cfb
 codec g711ulaw
 codec g711alaw
 codec g729ar8
 codec g729abr8
 codec g729r8
 codec g729br8
 maximum sessions 2
 associate application SCCP
dspfarm profile 5 mtp security
 trustpoint 2851ClientMina
 codec g711alaw
 maximum sessions hardware 1
 associate application SCCP

Media and Signaling Encryption on DSP Farm Conferencing 機能で使用されるデフォルトの TCPポートは 2443です。

Media and Signaling Encryption on DSP Farm Conferencing 機能についてのより詳しい情報は次のリンク "Cisco IOS Software Release 12.4 Special and Early Deployments feature guide" を参照してくださいhttp://www.cisco.com/en/US/docs/ios/12_4t/12_4t15/itsdsp.html

以下は Secure Signaling and Media Encryption for analog phones に関連するセクションのうち、脆弱な設定を示したものです(完全な設定のためには、証明書や SCCPの設定、dial peer など他にいくつかの設定が必要となります):

! The following lines show SCCP Telephony Control Application 
! (STCAPP) security enabled at the system level:
stcapp ccm-group 1
stcapp security trustpoint analog
stcapp security mode encrypted
stcapp 

<-- output removed for brevity -->

dial-peer voice 5002 pots
service stcapp
! The following line shows the security mode configured on the 
! dial peer.
security mode authenticated
port 2/1 

Media and Signaling Encryption for analog phones で使用されるデフォルトの TCPポートは 2443です。

Media and Signaling Encryption for analog phones についてのより詳しい情報は次のリンク "Supplementary Services Features for FXS Ports on Cisco IOS Voice Gateways Configuration Guide, Release 12.4T" を参照してください。http://www.cisco.com/en/US/docs/ios/voice/fxs/configuration/guide/fsxsecur.html

Blocks Extensible Exchange Protocol

転送プロトコルとして Blocks Extensible Exchange Protocol (BEEP) を用いる設定または実行可能コマンドには脆弱性が存在します。以下の例は NETCONF over BEEP 機能の脆弱な設定を示したものです。SASL を使用した NETCONF over BEEP 機能にも脆弱性が存在します。

crypto key generate rsa general-keys 
crypto pki trustpoint my_trustpoint 
enrollment url http://10.2.3.3:80
subject-name CN=dns_name_of_host.com
revocation-check none 
 
crypto pki authenticate my_trustpoint 
crypto pki enroll my_trustpoint 

line vty 0 15 
netconf lock-time 60 
netconf max-sessions 16 

netconf beep initiator host1 23 user my_user password 
   my_password encrypt my_trustpoint 
reconnect-time 60 

netconf beep listener 23 sasl user1 encrypt my_trustpoint

使用されるTCPポートは "netconf beep initiator" および "netconf beep listener" 設定コマンドで定義されます。

NETCONF over BEEP 機能についてのより詳しい情報は "Cisco IOS Software Release 12.4T feature guide" を参照して下さい。http://www.cisco.com/en/US/docs/ios/12_4t/12_4t11/htnetbe.html#wp1049404

BEEP の実行可能コマンドである "bingd" および "bingng" により、この脆弱性を引き起こされる可能性があります。 以下はこれらのコマンドが実行される例を示したものです:

bingng device 192.168.0.1 23
bingd device 23

Network Admission Control HTTP Authentication Proxy

Network Admission Control HTTP Authentication Proxy が設定されたデバイスには脆弱性が存在します。脆弱性のあるデバイスでは、認証プロキシのルールが存在しインターフェイスに適用されている必要があります。

次の設定は認証プロキシのルールを作成します。

ip admission name example-ap-rule-name proxy http

次の設定はインターフェイスに(前の設定で作成された)認証プロキシのルールを適用します。

interface GigabitEthernet 0/0
 ip admission example-ap-rule-name

Network Admission Control HTTP Authentication Proxyで使用されるデフォルトの TCPポートは 80 です。

Network Admission Control HTTP Authentication Proxyについてのより詳しい情報は次のリンクの "Cisco IOS Security Configuration Guide, Release 12.4" を参照してください。 http://www.cisco.com/en/US/docs/ios/security/configuration/guide/sec_net_admssn_ctrl_ps6350_TSD_Products_Configuration_Guide_Chapter.html#wp1053957

EAPoUDP, Dot1x, および MAC Authentication Bypass における Per-user URL Redirect

URLリダイレクト機能が設定されているデバイスには脆弱性が存在します。 URLリダイレクトは EAP over UDP (EAPoUDP)、Dot1x および MAC Authentication Bypass (MAB) の認証メカニズムでサポートされています。 URLリダイレクトの設定はサーバー上、もしくはローカルで定義されたプロファイルまたはポリシーの一部として存在することができます。どちらの設定であっても脆弱性は存在します。 次の設定のいずれかをもつデバイスには脆弱性が存在します。

EAPoUDPでの URLリダイレクト機能

EAPoUDPでの URLリダイレクト機能は、次のグローバル設定コマンドにより有効になります:

ip admission name <EAPoUDP-rule-name> eapoudp

次の設定はインターフェイスに(前の設定で作成された) EAPoUDP のルールを適用します。

ip admission name <EAPoUDP-rule-name>

Dot1x および MAB での URLリダイレクト機能

Dot1x および MAB の両方について URLリダイレクト機能には脆弱性が存在します。RADIUS サーバ上で定義される URLリダイレクトのための AVペアは以下に類似したものになります:

url-redirect="http://example.com"
url-redirect="urlacl"

Dot1x および MAB URLのリダイレクト機能をスイッチ上で正常に動作させるには、最低限、次の設定も必要となります。URLリダイレクトのためのインターフェイス特有の設定はありません。 基本的にインターフェイスは Dot1x/MAB のために設定されなければなりません。

ip http {server | secure-server}
ip device tracking

EAPoUDP, Dot1x および MAB の Per-user URL Redirectで使用されるデフォルトの TCPポートは 80 および 443 です。

EAPoUDP, Dot1x および MAB の Per-user URL Redirect についてのより詳しい情報は以下のリンク "Catalyst 4500 Series Switch Software Configuration Guide, 12.2(50)SG" を参照して下さい。 http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/50sg/configuration/guide/dot1x.html#wp1311079

Distributed Director での HTTPリダイレクト

Distributed Director において HTTPリダイレクトが設定されているデバイスには脆弱性が存在します。 次の例は脆弱な設定を示したものです:

ip director ip-address 192.168.0.1

Distributed Director で HTTPリダイレクトを行う際に使用されるデフォルトの TCPポートは 53 です。

Distributed Directorでの HTTPリダイレクトについてのより詳しい情報は次のリンク "Distributed Director Configuration Example Overview" を参照して下さい。http://www.cisco.com/cisco/web/support/JP/100/1003/1003108_dd_configuration.html#topic8b

DNS

Cisco IOS DNS 機能を設定しているデバイスには脆弱性が存在します。 UDPの実装を使用する純粋な DNS は脆弱ではありません。 デバイスで TCPトラフィック上の DNSをフィルタリングするための情報についてはこのアドバイザリの "回避策" セクションを参照して下さい。次の例にあるコマンドのうちいずれかがデバイスの設定にある場合、デバイスは脆弱です:

ip dns server
ip dns primary example.com soa www.example.com admin@example.com
ip dns spoofing 192.168.0.1

DNSが使用するデフォルトの TCPポートは 53 です。

Cisco IOS DNS 機能についてのより詳しい情報は次のリンク "Cisco IOS IP Addressing Services Configuration Guide, Release 12.4" を参照して下さいhttp://www.cisco.com/en/US/docs/ios/ipaddr/configuration/guide/iad_config_dns_ps6350_TSD_Products_Configuration_Guide_Chapter.html

この脆弱性は、Cisco Bug ID: CSCsm27071 (登録ユーザのみ)として文書化され、Common Vulnerabilities and Exposures(CVE) IDとして CVE-2009-0630が割り当てられています。

脆弱性スコア詳細

Cisco はこのアドバイザリでの脆弱性に対して Common Vulnerability Scoring System (CVSS) に基づいたスコアを提供しています。 このセキュリティアドバイザリでの CVSSスコアは CVSS version 2.0に基づいています。

CVSSは、脆弱性の重要度を示唆するもので、緊急性および対応の優先度を決定する手助けとなる標準ベースの評価法です。

Cisco は基本評価 (Base Score) および現状評価スコア (Temporal Score) を提供いたします。 お客様はこれらを用いて環境評価スコア (Environmental Score) を算出し、 個々のネットワークにおける脆弱性の影響度を導き出すことができます。

Cisco は以下の URL にて CVSS に関する FAQ を提供しています。

http://www.cisco.com/web/about/security/intelligence/cvss-qandas.html

また Cisco は個々のネットワークにおける環境影響度を算出する CVSS 計算ツールを以下の URL にて提供しています。

http://intellishield.cisco.com/security/alertmanager/cvss

CSCsm27071: Cisco IOS Software Multiple Features IP Sockets Vulnerability

Calculate the environmental score of CSCsm27071
CVSS Base Score - 7.8
Access VectorAccess ComplexityAuthenticationConfidentiality ImpactIntegrity ImpactAvailability Impact
NetworkLowNoneNoneNoneComplete
CVSS Temporal Score - 6.4
ExploitabilityRemediation LevelReport Confidence
FunctionalOfficial-FixConfirmed

影響

この脆弱性の利用に成功した場合、次のような結果が引き起こされる可能性があります:

  • 定義された影響を受ける機能での新しい接続やセッションを受け入れ停止
  • デバイスのメモリの枯渇
  • デバイスにおける長時間の CPU使用率高騰状態
  • デバイスのリロード

この脆弱性の不正利用が繰り返し使用された場合、結果としてサービス拒絶(DoS)状態となる可能性があります。

ソフトウエアバージョン及び修正

ソフトウェアのアップグレードを検討する際には、 http://www.cisco.com/go/psirt および、本アドバイザリ以降に公開のアドバイザリも参照して、 起こりうる障害と完全なアップグレード ソリューションを判断してください。

いずれの場合も、アップグレードする機器に十分なメモリがあること、 および現在のハードウェアとソフトウェアの構成が新しいリリースで 引き続き適切にサポートされていることの確認を十分に行ってください。 情報が不明確な場合は、Cisco Technical Assistance Center (TAC) もしくは契約している保守会社にお問い合せください。

Cisco IOS ソフトウェアテーブル(下記)の各行は Cisco IOS のリリーストレインを示します。 あるリリーストレインが脆弱である場合、修正を含む最初のリリースは、 表の "First Fixed Release" 列に示されます(入手可能予想日が示される場合もあります)。 "Recommended Release" 列は、このアドバイザリの公開時点において 公開済みである全ての脆弱性についての修正を含むリリースを示します。 実行しているリリースが、そのトレインで "First Fixed Release" 以前のものである 機器は脆弱であることが知られています。 Cisco はテーブルの "Recommended Releases" 列のリリース、 またはそれ以降のリリースにアップグレードすることを推奨します。

Major Release

Availability of Repaired Releases

Affected 12.0-Based Releases

First Fixed Release

Recommended Release

12.0

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.0DA

Vulnerable; first fixed in 12.2DA

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.0DB

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.0DC

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.0S

12.0(32)S12

12.0(32)S12

12.0SC

Vulnerable; first fixed in 12.0S

12.0(32)S12

12.0SL

Vulnerable; first fixed in 12.0S

12.0(32)S12

12.0SP

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.0ST

Vulnerable; first fixed in 12.0S

12.0(32)S12

12.0SX

Vulnerable; first fixed in 12.0S

12.0(32)S12

12.0SY

12.0(32)SY8

12.0(32)SY8

12.0SZ

Vulnerable; first fixed in 12.0S

12.0(32)S12

12.0T

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.0W

Vulnerable; contact TAC

 

12.0WC

Vulnerable; contact TAC

 

12.0WT

Not Vulnerable

 

12.0XA

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.0XB

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.0XC

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.0XD

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.0XE

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.0XF

Not Vulnerable

 

12.0XG

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.0XH

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.0XI

Releases prior to 12.0(4)XI2 are vulnerable, release 12.0(4)XI2 and later are not vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.0XJ

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.0XK

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.0XL

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.0XM

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.0XN

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.0XQ

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.0XR

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.0XS

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.0XT

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.0XV

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

Affected 12.1-Based Releases

First Fixed Release

Recommended Release

12.1

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.1AA

Vulnerable; contact TAC

 

12.1AX

Vulnerable; first fixed in 12.2SE

12.2(44)SE6

12.1AY

Vulnerable; first fixed in 12.1EA

12.1(22)EA13

12.2(44)SE6

12.1AZ

Vulnerable; first fixed in 12.1EA

12.1(22)EA13

12.2(44)SE6

12.1CX

Vulnerable; contact TAC

 

12.1DA

Vulnerable; first fixed in 12.2DA

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.1DB

Vulnerable; contact TAC

 

12.1DC

Vulnerable; contact TAC

 

12.1E

Vulnerable; first fixed in 12.2SXF

12.2(18)SXF16

12.1EA

12.1(22)EA13

12.1(22)EA13

12.1EB

Vulnerable; contact TAC

 

12.1EC

Vulnerable; first fixed in 12.3BC

12.2(33)SCB1

12.3(23)BC6

12.1EO

Vulnerable; contact TAC

 

12.1EU

Vulnerable; first fixed in 12.2SG

12.2(31)SGA9

12.1EV

Vulnerable; contact TAC

 

12.1EW

Vulnerable; migrate to 12.2SGA

 

12.1EX

Vulnerable; contact TAC

 

12.1EY

Vulnerable; contact TAC

 

12.1EZ

Vulnerable; first fixed in 12.2SXF

12.2(18)SXF16

12.1GA

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.1GB

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.1T

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.1XA

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.1XB

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.1XC

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.1XD

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.1XE

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.1XF

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.1XG

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.1XH

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.1XI

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.1XJ

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.1XL

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.1XM

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.1XP

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.1XQ

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.1XR

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.1XS

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.1XT

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.1XU

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.1XV

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.1XW

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.1XX

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.1XY

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.1XZ

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.1YA

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.1YB

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.1YC

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.1YD

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.1YE

Releases prior to 12.1(5)YE6 are vulnerable, release 12.1(5)YE6 and later are not vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.1YF

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.1YH

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.1YI

Vulnerable; contact TAC

 

12.1YJ

Vulnerable; first fixed in 12.1EA

12.1(22)EA13

12.2(44)SE6

Affected 12.2-Based Releases

First Fixed Release

Recommended Release

12.2

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.2B

Vulnerable; first fixed in 12.4T

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.2BC

Vulnerable; migrate to 12.2SCB1 or 12.3BC

12.2(33)SCB1

12.3(23)BC6

12.2BW

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.2BX

Vulnerable; migrate to 12.2SB4

12.2(33)SB4

12.2BY

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.2BZ

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.2CX

Vulnerable; migrate to 12.2SCB or 12.3BC

12.2(33)SCB1

12.3(23)BC6

12.2CY

Vulnerable; migrate to 12.2SCB or 12.3BC

12.2(33)SCB1

12.3(23)BC6

12.2CZ

Vulnerable; first fixed in 12.2SB

12.2(33)SB4

12.2DA

12.2(12)DA14; Available on 30-JUL-2009

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.2DD

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.2DX

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.2EW

Vulnerable; first fixed in 12.2SG

12.2(31)SGA9

12.2EWA

Vulnerable; first fixed in 12.2SG

12.2(31)SGA9

12.2EX

Vulnerable; first fixed in 12.2SE

12.2(44)SE6

12.2EY

12.2(44)EY

12.2(44)SE6

12.2EZ

Vulnerable; first fixed in 12.2SE

12.2(44)SE6

12.2FX

Vulnerable; first fixed in 12.2SE

12.2(44)SE6

12.2FY

Vulnerable; first fixed in 12.2SE

12.2(44)SE6

12.2FZ

Vulnerable; first fixed in 12.2SE

12.2(44)SE6

12.2IRA

Vulnerable; first fixed in 12.2SRC

12.2(33)SRC4; Available on 18-MAY-2009

12.2IRB

Vulnerable; first fixed in 12.2SRC

12.2(33)SRC4; Available on 18-MAY-2009

12.2IXA

Vulnerable; migrate to any release in 12.2IXH

12.2(18)IXH; Available on 31-MAR-2009

12.2IXB

Vulnerable; migrate to any release in 12.2IXH

12.2(18)IXH; Available on 31-MAR-2009

12.2IXC

Vulnerable; migrate to any release in 12.2IXH

12.2(18)IXH; Available on 31-MAR-2009

12.2IXD

Vulnerable; migrate to any release in 12.2IXH

12.2(18)IXH; Available on 31-MAR-2009

12.2IXE

Vulnerable; migrate to any release in 12.2IXH

12.2(18)IXH; Available on 31-MAR-2009

12.2IXF

Vulnerable; migrate to any release in 12.2IXH

12.2(18)IXH; Available on 31-MAR-2009

12.2IXG

Vulnerable; migrate to any release in 12.2IXH

12.2(18)IXH; Available on 31-MAR-2009

12.2JA

Not Vulnerable

 

12.2JK

Not Vulnerable

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.2MB

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.2MC

12.2(15)MC2m

12.2(15)MC2m

12.2S

Vulnerable; first fixed in 12.2SB

12.2(33)SB4

12.2SB

12.2(31)SB14

12.2(33)SB1

12.2(28)SB13

12.2(33)SB4

12.2SBC

Vulnerable; first fixed in 12.2SB

12.2(33)SB4

12.2SCA

12.2(33)SCA2

12.2(33)SCB1

12.2SCB

Not Vulnerable

 

12.2SE

12.2(50)SE

12.2(46)SE2

12.2(44)SE5

12.2(44)SE6

12.2SEA

Vulnerable; first fixed in 12.2SE

12.2(44)SE6

12.2SEB

Vulnerable; first fixed in 12.2SE

12.2(44)SE6

12.2SEC

Vulnerable; first fixed in 12.2SE

12.2(44)SE6

12.2SED

Vulnerable; first fixed in 12.2SE

12.2(44)SE6

12.2SEE

Vulnerable; first fixed in 12.2SE

12.2(44)SE6

12.2SEF

Vulnerable; first fixed in 12.2SE

12.2(44)SE6

12.2SEG

Vulnerable; first fixed in 12.2SE

12.2(44)SE6

12.2SG

12.2(50)SG

12.2(52)SG; Available on 15-MAY-2009

12.2SGA

12.2(31)SGA9

12.2(31)SGA9

12.2SL

Not Vulnerable

 

12.2SM

Vulnerable; contact TAC

 

12.2SO

Vulnerable; contact TAC

 

12.2SQ

Not Vulnerable

 

12.2SRA

Vulnerable; first fixed in 12.2SRC

12.2(33)SRC4; Available on 18-MAY-2009

12.2SRB

Vulnerable; first fixed in 12.2SRC

12.2(33)SRB5a; Available on 3-April-2009

12.2(33)SRC4; Available on 18-MAY-2009

12.2SRC

12.2(33)SRC1

12.2(33)SRC4; Available on 18-MAY-2009

12.2SRD

Not Vulnerable

 

12.2STE

Vulnerable; contact TAC

 

12.2SU

Vulnerable; first fixed in 12.4T

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.2SV

Vulnerable; contact TAC

 

12.2SVA

Vulnerable; contact TAC

 

12.2SVC

Vulnerable; contact TAC

 

12.2SVD

Vulnerable; contact TAC

 

12.2SVE

Vulnerable; contact TAC

 

12.2SW

Vulnerable; contact TAC

 

12.2SX

Vulnerable; first fixed in 12.2SXF

12.2(18)SXF16

12.2SXA

Vulnerable; first fixed in 12.2SXF

12.2(18)SXF16

12.2SXB

Vulnerable; first fixed in 12.2SXF

12.2(18)SXF16

12.2SXD

Vulnerable; first fixed in 12.2SXF

12.2(18)SXF16

12.2SXE

Vulnerable; first fixed in 12.2SXF

12.2(18)SXF16

12.2SXF

12.2(18)SXF16

12.2(18)SXF16

12.2SXH

12.2(33)SXH5; Available on 20-APR-2009

12.2(33)SXH5; Available on 20-APR-2009

12.2SXI

Not Vulnerable

 

12.2SY

Vulnerable; first fixed in 12.2SB

12.2(33)SB4

12.2SZ

Vulnerable; first fixed in 12.2SB

12.2(33)SB4

12.2T

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.2TPC

Vulnerable; contact TAC

 

12.2XA

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.2XB

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.2XC

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.2XD

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.2XE

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.2XF

Vulnerable; migrate to 12.2SCB or 12.3BC

12.2(33)SCB1

12.3(23)BC6

12.2XG

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.2XH

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.2XI

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.2XJ

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.2XK

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.2XL

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.2XM

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.2XN

Vulnerable; first fixed in 12.2SRC

12.2(33)SB4

12.2(33)SRD1

12.2XNA

Vulnerable; migrate to any release in 12.2SRD

12.2(33)SRD1

12.2XNB

Not Vulnerable

 

12.2XNC

Not Vulnerable

 

12.2XO

12.2(46)XO

12.2(46)XO

12.2XQ

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.2XR

Not Vulnerable

 

12.2XS

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.2XT

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.2XU

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.2XV

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.2XW

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.2YA

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.2YB

Vulnerable; contact TAC

 

12.2YC

Vulnerable; contact TAC

 

12.2YD

Vulnerable; contact TAC

 

12.2YE

Vulnerable; contact TAC

 

12.2YF

Vulnerable; contact TAC

 

12.2YG

Vulnerable; contact TAC

 

12.2YH

Vulnerable; contact TAC

 

12.2YJ

Vulnerable; contact TAC

 

12.2YK

Vulnerable; contact TAC

 

12.2YL

Vulnerable; contact TAC

 

12.2YM

Vulnerable; first fixed in 12.4T

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.2YN

Vulnerable; contact TAC

 

12.2YO

Vulnerable; contact TAC

 

12.2YP

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.2YQ

Vulnerable; contact TAC

 

12.2YR

Vulnerable; contact TAC

 

12.2YS

Not Vulnerable

 

12.2YT

Vulnerable; contact TAC

 

12.2YU

Vulnerable; contact TAC

 

12.2YV

Vulnerable; contact TAC

 

12.2YW

Vulnerable; contact TAC

 

12.2YX

Vulnerable; contact TAC

 

12.2YY

Vulnerable; contact TAC

 

12.2YZ

Vulnerable; contact TAC

 

12.2ZA

Vulnerable; first fixed in 12.2SXF

12.2(18)SXF16

12.2ZB

Vulnerable; contact TAC

 

12.2ZC

Vulnerable; contact TAC

 

12.2ZD

Vulnerable; contact TAC

 

12.2ZE

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.2ZF

Vulnerable; first fixed in 12.4T

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.2ZG

Vulnerable; first fixed in 12.4T

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.2ZH

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.2ZJ

Vulnerable; contact TAC

 

12.2ZL

Vulnerable; contact TAC

 

12.2ZP

Vulnerable; contact TAC

 

12.2ZU

Vulnerable; first fixed in 12.2SXH

12.2(33)SXH5; Available on 20-APR-2009

12.2ZX

Vulnerable; first fixed in 12.2SB

12.2(33)SB4

12.2ZY

Vulnerable; contact TAC

 

12.2ZYA

12.2(18)ZYA1

12.2(18)ZYA1

Affected 12.3-Based Releases

First Fixed Release

Recommended Release

12.3

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.3B

Vulnerable; first fixed in 12.4T

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.3BC

12.3(23)BC6

12.3(23)BC6

12.3BW

Vulnerable; first fixed in 12.4T

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.3EU

Not Vulnerable

 

12.3JA

Not Vulnerable

 

12.3JEA

Not Vulnerable

 

12.3JEB

Not Vulnerable

 

12.3JEC

Not Vulnerable

 

12.3JK

Not Vulnerable

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.3JL

Vulnerable; first fixed in 12.4JK

 

12.3JX

Not Vulnerable

 

12.3T

Vulnerable; first fixed in 12.4T

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.3TPC

Vulnerable; contact TAC

 

12.3VA

Vulnerable; contact TAC

 

12.3XA

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.3XB

Vulnerable; contact TAC

 

12.3XC

Vulnerable; first fixed in 12.4T

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.3XD

Vulnerable; first fixed in 12.4T

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.3XE

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.3XF

Vulnerable; contact TAC

 

12.3XG

Vulnerable; first fixed in 12.4T

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.3XI

Vulnerable; first fixed in 12.2SB

12.2(33)SB4

12.3XJ

Vulnerable; first fixed in 12.3YX

12.3(14)YX14

12.3XK

Vulnerable; first fixed in 12.4T

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.3XL

Vulnerable; first fixed in 12.4T

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.3XQ

Vulnerable; first fixed in 12.4T

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.3XR

Vulnerable; first fixed in 12.4

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.3XS

Vulnerable; first fixed in 12.4T

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.3XU

Vulnerable; first fixed in 12.4T

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.3XW

Vulnerable; first fixed in 12.3YX

12.3(14)YX14

12.3XX

Vulnerable; first fixed in 12.4T

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.3XY

Vulnerable; first fixed in 12.4T

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.3XZ

Vulnerable; first fixed in 12.4T

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.3YA

Vulnerable; first fixed in 12.4T

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.3YD

Vulnerable; first fixed in 12.4T

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.3YF

Vulnerable; first fixed in 12.3YX

12.3(14)YX14

12.3YG

Vulnerable; first fixed in 12.4T

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.3YH

Vulnerable; first fixed in 12.4T

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.3YI

Vulnerable; first fixed in 12.4T

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.3YJ

Vulnerable; first fixed in 12.4T

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.3YK

Vulnerable; first fixed in 12.4T

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.3YM

12.3(14)YM13

12.3(14)YM13

12.3YQ

Vulnerable; first fixed in 12.4T

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.3YS

Vulnerable; first fixed in 12.4T

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.3YT

Vulnerable; first fixed in 12.4T

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.3YU

Vulnerable; first fixed in 12.4XB

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.3YX

12.3(14)YX14

12.3(14)YX14

12.3YZ

Vulnerable; contact TAC

 

12.3ZA

Vulnerable; first fixed in 12.4T

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

Affected 12.4-Based Releases

First Fixed Release

Recommended Release

12.4

12.4(19)

12.4(18a)

12.4(23a); Available on 05-JUN-2009

12.4(18e)

12.4(23a); Available on 05-JUN-2009

12.4JA

Not Vulnerable

 

12.4JDA

Not Vulnerable

 

12.4JK

Not Vulnerable

 

12.4JL

Not Vulnerable

 

12.4JMA

Vulnerable; contact TAC

 

12.4JMB

Vulnerable; contact TAC

 

12.4JX

Not Vulnerable

 

12.4MD

12.4(11)MD7

12.4(11)MD7

12.4MR

12.4(19)MR

12.4(19)MR2

12.4SW

Vulnerable; contact TAC

 

12.4T

12.4(20)T

12.4(15)T8

12.4(15)T9; Available on 29-APR-2009

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.4XA

Vulnerable; first fixed in 12.4T

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.4XB

12.4(15)T8

12.4(20)T

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.4XC

Vulnerable; first fixed in 12.4T

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.4XD

12.4(4)XD12; Available on 27-MAR-2009

12.4(4)XD12; Available on 27-MAR-2009

12.4XE

Vulnerable; first fixed in 12.4T

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.4XF

Vulnerable; first fixed in 12.4T

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.4XG

Vulnerable; first fixed in 12.4T

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.4XJ

Vulnerable; first fixed in 12.4T

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.4XK

Vulnerable; first fixed in 12.4T

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.4XL

12.4(15)XL4

12.4(15)XL4

12.4XM

Vulnerable; first fixed in 12.4T

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.4XN

Vulnerable; contact TAC

 

12.4XP

Vulnerable; contact TAC

 

12.4XQ

12.4(15)XQ2

12.4(15)XQ2

12.4XR

12.4(15)XR4

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.4XT

Vulnerable; first fixed in 12.4T

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.4XV

Vulnerable; contact TAC

 

12.4XW

12.4(11)XW10

12.4(11)XW10

12.4XY

12.4(15)XY4

12.4(22)T1

12.4(15)T9; Available on 29-APR-2009

12.4XZ

Not Vulnerable

 

12.4YA

Not Vulnerable

 

12.4YB

Not Vulnerable

 

12.4YD

Not Vulnerable

 

回避策

この脆弱性のための緩和策は以下となります:

Infrastructure Access Control Lists

ネットワークを通過するトラフィックを遮断することはしばしば困難ですが、インフラストラクチャ デバイスをターゲットとした許可すべきではないトラフィックを特定し、そのようなトラフィックをネットワークの境界で遮断することは可能です。 Infrastructure Access Control Lists(iACLs) は、ネットワークセキュリティのベストプラクティスであり、特定の脆弱性に対する回避策であると同時に長期に渡って役立つネットワークセキュリティを付加することができます。以下の iACL の例は、Infrastructure access-list の一部として設定されるべきであり、インフラストラクチャ IP アドレスの範囲に含まれる IP アドレスを持つ全ての機器を防御します:

!--- Only sections pertaining to features enabled on the device
!--- need be configured.
!---
!--- Feature: Cisco Unified Communications Manager Express 
!---
!--- CAPF server configuration
!---

access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK  
     INFRASTRUCTURE_ADDRESSES WILDCARD eq 3804

!---
!--- Telephony-Service configuration
!--- The TCP port is as per the ip source-address
!--- <ip-address> port <port-number> telephony
!--- service configuration command.  Example below 2999
!--- 

access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK  
     INFRASTRUCTURE_ADDRESSES WILDCARD eq 2999

!---
!--- Deny Cisco Unified Communications Manager Express traffic 
!--- from all other sources destined to infrastructure addresses.
!---

access-list 150 deny tcp any 
     INFRASTRUCTURE_ADDRESSES WILDCARD eq 3804
access-list 150 deny tcp any 
     INFRASTRUCTURE_ADDRESSES WILDCARD eq 2999

!---
!--- Feature: SIP Gateway Signaling Support Over TLS Transport
!---

access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK  
     INFRASTRUCTURE_ADDRESSES WILDCARD eq 5061

!--- Deny SIP Gateway Signaling Support Over TLS Transport 
!--- traffic from all other sources destined to infrastructure 
!--- addresses.

access-list 150 deny tcp any 
     INFRASTRUCTURE_ADDRESSES WILDCARD eq 5061

!---
!--- Feature: Secure Signaling and Media Encryption
!---

access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK  
     INFRASTRUCTURE_ADDRESSES WILDCARD eq 2443

!--- Deny Secure Signaling and Media Encryption traffic from all 
!--- other sources destined to infrastructure addresses.

access-list 150 deny tcp any 
     INFRASTRUCTURE_ADDRESSES WILDCARD eq 2443

!---
!--- Feature: Blocks Extensible Exchange Protocol (BEEP)
!--- The TCP port used is defined with the netconf beep initiator 
!--- and netconf beep listener configuration
!--- commands.  This example uses 3001
!---

access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK  
     INFRASTRUCTURE_ADDRESSES WILDCARD eq 3001

!--- Deny BEEP traffic from all other sources destined to 
!--- infrastructure addresses.

access-list 150 deny tcp any 
     INFRASTRUCTURE_ADDRESSES WILDCARD eq 3001

!---
!--- Feature: Network Admission Control HTTP Authentication Proxy
!--- and
!--- Per-user URL Redirect for EAP over UDP, Dot1x and MAC 
!--- Authentication Bybass
!---

access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK  
     INFRASTRUCTURE_ADDRESSES WILDCARD eq 80
access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK  
     INFRASTRUCTURE_ADDRESSES WILDCARD eq 443

!---
!--- Deny Network Admission Control HTTP Authentication Proxy
!--- and
!--- Per-user URL Redirect for EAP over UDP, Dot1x and MAC 
!--- Authentication Bybass traffic to infrastructue
!---

access-list 150 deny tcp any 
     INFRASTRUCTURE_ADDRESSES WILDCARD eq 80
access-list 150 deny tcp any 
     INFRASTRUCTURE_ADDRESSES WILDCARD eq 443

!---
!--- Features: Distributed Director with HTTP Redirects and DNS
!---

access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK  
     INFRASTRUCTURE_ADDRESSES WILDCARD eq 53

!--- Deny Distributed Director with HTTP Redirects traffic and DNS 
!--- from all other sources destined to infrastructure addresses.

access-list 150 deny tcp any 
     INFRASTRUCTURE_ADDRESSES WILDCARD eq 53

!--- Permit/deny all other Layer 3 and Layer 4 traffic in 
!--- accordance with existing security policies and configurations
!--- Permit all other traffic to transit the device.

access-list 150 permit ip any any

!--- Apply access-list to all interfaces (only one example shown)

interface serial 2/0
ip access-group 150 in

White Paper の "Protecting Your Core: Infrastructure Protection Access Control Lists"は、アクセスリストによってインフラストラクチャ デバイスを守るためのガイドラインと、推奨される導入方法が記載されています。: http://www.cisco.com/cisco/web/support/JP/100/1006/1006441_iacl-j.htmlで得ることができます

Receive ACL (rACL)

分散型のプラットフォームにおいて、Cisco12000 シリーズ(GSR) では 12.0(21)S2、 Cisco7500 シリーズでは 12.0(24)S、Cisco10720 シリーズでは 12.0(31)S の IOS ソフトウェアにてサポートされている Receive ACL も選択肢となります。 Receive ACL は悪影響を及ぼすトラフィックがルートプロセッサに影響する前に、そのトラフィックから機器を防御することができます。 Receive ACL は、それが設定された機器だけを防御するようにデザインされています。 Cisco 12000, 7500, 10720 では通過トラフィックは Receive ACL による影響を受けません。そのため、以下の ACL の例において宛先 IP アドレス "any" が用いられても、自ルータの物理あるいは仮想 IP アドレスのみが参照されます。 Receive ACL は、ネットワークセキュリティのベストプラクティスであり、特定の脆弱性に対する回避策であると同時に長期に渡って役立つネットワークセキュリティを付加することができます。ホワイトペーパーの "GSR: Receive Access Control Lists" には、機器宛の正当なパケットとそれ以外の遮断されるべきパケットを判断する手法が記載されています。このホワイトペーパーは次のリンクより入手可能です。 http://www.cisco.com/cisco/web/support/JP/100/1006/1006440_racl-j.html

次の receive path ACL は信頼できるホストからのこのようなタイプのトラフィックを許可するように記述されています:

!---
!--- Only sections pertaining to features enabled on the device
!--- need be configured.
!---

!---
!--- Feature: Cisco Unified Communications Manager Express 
!---
!---

!---
!--- Permit CAPF server traffic from trusted hosts allowed to 
!--- the RP.
!---

access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK  
     any eq 3804

!---
!--- Telephony-Service configuration
!---

!---
!--- The TCP port is as per the ip source-address
!--- <address> port <port-number> telephony-service 
!--- configuration command.  Example below 2999
!---
!--- Permit Telephony-Service traffic from trusted hosts allowed 
!--- to the RP.

access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK  
     any eq 2999

!---
!--- Deny Cisco Unified Communications Manager Express 
!--- traffic from all other sources to the RP.
!---

access-list 150 deny tcp any any eq 3804
access-list 150 deny tcp any any eq 2999

!---
!--- Permit SIP Gateway Signaling Support Over TLS Transport
!--- traffic from trusted hosts allowed to the RP.
!---

access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK  
     any eq 5061

!---
!--- Deny SIP Gateway Signaling Support Over TLS Transport 
!--- traffic from all other sources to the RP.
!---


access-list 150 deny tcp any any eq 5061

!---
!--- Permit Secure Signaling and Media Encryption traffic 
!--- from trusted hosts allowed to the RP.
!---

access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK  
     any eq 2443

!---
!--- Deny Secure Signaling and Media Encryption traffic from 
!--- all other sources to the RP.
!---

access-list 150 deny tcp any any eq 2443

!---
!--- Feature: Blocks Extensible Exchange Protocol (BEEP)
!--- The TCP port used is defined with the netconf beep initiator 
!--- and netconf beep listener configuration commands.  
!--- This example uses 3001
!---

!---
!--- Permit BEEP traffic from trusted hosts allowed to the RP.
!---

access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK  
     any eq 3001

!---
!--- Deny BEEP traffic from all other sources to the RP.
!---

access-list 150 deny tcp any any eq 3001

!---
!--- Feature: Network Admission Control HTTP Authentication Proxy
!--- and
!--- Per-user URL Redirect for EAP over UDP, Dot1x and MAC 
!--- Authentication Bybass
!---

!---
!--- Permit Per-user URL Redirect for EAP over UDP, Dot1x and MAC 
!--- Authentication Bybass traffic from trusted hosts allowed to 
!--- the RP.
!---

access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK  
     any eq 80
access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK  
     any eq 443
 
!---
!--- Deny Network Admission Control HTTP Authentication Proxy
!--- and
!--- Per-user URL Redirect for EAP over UDP, Dot1x and MAC 
!--- Authentication Bybass traffic from all other sources to 
!--- the RP.
!---

access-list 150 deny tcp any any eq 80
access-list 150 deny tcp any any eq 443

!---
!--- Features: Distributed Director with HTTP Redirects and DNS
!---

!---
!--- Permit Distribute Director and DNS traffic from trusted hosts
!--- allowed to the RP.
!---

access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK  
     any eq 53

!---
!--- Deny distributed director and DNS traffic from all other 
!--- sources to the RP.
!---

access-list 150 deny tcp any any eq 53

!---
!--- Permit all other traffic to the RP.
!--- according to security policy and configurations.
!---

access-list 150 permit ip any any

!---
!--- Apply this access list to the 'receive' path.
!---

ip receive access-list 150

Control Plane Policing

Control Plane Policing(CoPP) は、機器宛ての影響を受ける機能のTCPトラフィック アクセスをブロックするのに使用することができます。 CoPP 機能は、Cisco IOS ソフトウェアリリース 12.0S、12.2SX、12.2S、12.3T、12.4、および 12.4T にてサポートされています。 管理およびコントロールプレーンを保護するために CoPP を機器に設定し、既存のセキュリティーポリシーとコンフィギュレーションに従って認定されたトラフィックだけがインフラストラクチャデバイス宛に送信されることを明示的に許可することで、インフラストラクチャへの直接攻撃のリスクとその効果を最小限に抑えることができます。下記の CoPP の例はインフラストラクチャ IP アドレスの範囲内にある IP アドレスを持つ全ての機器を保護するために定義される CoPP の一部として含まれるべき項目です:

!---
!--- Only sections pertaining to features enabled on the device
!--- need be configured.
!---
!--- Feature: Cisco Unified Communications Manager Express
!---
!--- CAPF Server configuration
!---

access-list 150 deny tcp TRUSTED_SOURCE_ADDRESSES MASK  
   any eq 3804

!---
!--- Telephony-Service configuration
!--- The TCP port is as per the ip source-address
!--- <address> port <port-number> telephony-service
!--- configuration command.  Example below 2999
!---

access-list 150 deny tcp TRUSTED_SOURCE_ADDRESSES MASK  
   any eq 2999

!---
!--- Permit Cisco Unified Communications Manager Express traffic 
!--- sent to all IP addresses configured on all interfaces of 
!--- the affected device so that it will be policed and dropped
!--- by the CoPP feature
!---
!--- CAPF server configuration
!---

access-list 150 permit tcp any any eq 3804

!---
!--- Telephony-Service configuration
!---

access-list 150 permit tcp any any eq 2999

!---
!--- Feature: SIP Gateway Signaling Support Over TLS Transport
!---

access-list 150 deny tcp TRUSTED_SOURCE_ADDRESSES MASK  
   any eq 5061

!---
!--- Permit SIP Gateway Signaling Support Over TLS Transport 
!--- traffic sent to all IP addresses configured on all interfaces
!--- of the affected device so that it will be policed and  
!--- dropped by the CoPP feature
!--- 

access-list 150 permit tcp any any eq 5061

!---
!--- Feature: Secure Signaling and Media Encryption
!---

access-list 150 deny tcp TRUSTED_SOURCE_ADDRESSES MASK  
   any eq 2443

!---
!--- Permit Secure Signaling and Media Encryption traffic sent to
!--- all IP addresses configured on all interfaces of the affected 
!--- device so that it will be policed and dropped by the CoPP 
!--- feature
!---

access-list 150 permit tcp any any eq 2443

!---
!--- Feature: Blocks Extensible Exchange Protocol (BEEP)
!--- The TCP port used is defined with the netconf beep initiator 
!--- and netconf beep listener configuration commands.  
!--- This example uses 3001
!---

access-list 150 deny tcp TRUSTED_SOURCE_ADDRESSES MASK  
   any eq 3001

!---
!--- Permit BEEP traffic sent to all IP addresses configured
!--- on all interfaces of the affected device so that it
!--- will be policed and dropped by the CoPP feature
!---

access-list 150 permit tcp any any eq 3001

!---
!--- Feature: Network Admission Control HTTP Authentication Proxy
!--- and
!--- Per-user URL Redirect for EAP over UDP, Dot1x and MAC 
!--- Authentication Bybass
!---

access-list 150 deny tcp TRUSTED_SOURCE_ADDRESSES MASK  
   any eq 80
access-list 150 deny tcp TRUSTED_SOURCE_ADDRESSES MASK  
   any eq 443

!---
!--- Permit Network Admission Control HTTP Authentication Proxy
!--- and Per-user URL Redirect for EAP over UDP, Dot1x and MAC 
!--- Authentication Bybass traffic sent to all IP addresses
!--- configured on all interfaces of the affected device so that it
!--- will be policed and dropped by the CoPP feature
!---

access-list 150 permit tcp any any eq 80
access-list 150 permit tcp any any eq 443

!---
!--- Features: Distributed Director with HTTP Redirects and DNS
!---

access-list 150 deny tcp TRUSTED_SOURCE_ADDRESSES MASK  
   any eq 53

!---
!--- Permit Distributed Director with HTTP Redirects and DNS 
!--- traffic sent to all IP addresses configured on all interfaces
!--- of the affected device so that it will be policed and dropped
!--- by the CoPP feature
!---

access-list 150 permit tcp any any eq 53

!---
!--- Permit (Police or Drop)/Deny (Allow) all other Layer3 and
!--- Layer4 traffic in accordance with existing security policies
!--- and configurations for traffic that is authorized to be sent
!--- to infrastructure devices
!---

!---
!--- Create a Class-Map for traffic to be policed by
!--- the CoPP feature
!---

class-map match-all drop-tcpip-class
match access-group 150

!---
!--- Create a Policy-Map that will be applied to the
!--- Control-Plane of the device.
!---

policy-map drop-tcpip-traffic

class drop-tcpip-class
drop

!---
!--- Apply the Policy-Map to the 
!--- Control-Plane of the device
!---

control-plane
service-policy input drop-tcpip-traffic

上記の CoPP の例では、"permit" アクションであるアクセスコントロールリストエントリ(ACE)に該当し、攻撃である可能性のあるパケットは、policy-map の "drop" 機能により廃棄されますが、一方、"deny" アクション(記載されていません)に該当するパケットは、 policy-map の "drop" 機能の影響を受けません。 policy-map の構文は、12.2S と 12.0S Cisco IOS トレインでは異なるので注意が必要です:

policy-map drop-tcpip-traffic
class drop-tcpip-class
police 32000 1500 1500 conform-action drop exceed-action drop

CoPP の設定と使用法についての追加情報については、以下のリンクの "Control Plane Policing Implementation Best Practices" および "Cisco IOS Software Releases 12.2S - Control Plane Policing" を参照下さい。http://www.cisco.com/web/about/security/intelligence/coppwp_gs.htmlhttp://www.cisco.com/en/US/docs/ios/12_3t/12_3t4/feature/guide/gtrtlimt.html

ネットワーク内の Cisco 機器に適用可能な他の緩和策は、このアドバイザリの付属ドキュメントである Cisco Applied Mitigation Bulletin にて参照できます: http://www.cisco.com/en/US/products/products_applied_mitigation_bulletin09186a0080a904a2.html

修正済みソフトウェアの入手

Cisco はこれらの脆弱性に対応するための無償ソフトウェア アップデートを提供しています。 ソフトウェアの導入を行う前にお客様のメンテナンスプロバイダーにご相談いただくか、 ソフトウェアのフィーチャーセットの互換性および お客様のネットワーク環境に特有の問題に関してご確認下さい。

お客様がインストールしたり、サポートを受けたりできるのは、 ご購入いただいたフィーチャーセットに対してのみとなります。 そのようなソフトウェア アップグレードをインストール、ダウンロード、 アクセスまたはその他の方法で使用した場合、お客様は http://www.cisco.com/en/US/docs/general/warranty/English/EU1KEN_.html に記載の Cisco のソフトウェア ライセンスの条項または、 Cisco.com Downloads の http://www.cisco.com/public/sw-center/sw-usingswc.shtml に説明のあるその他の条項に従うことに同意したことになります。

ソフトウェアのアップグレードに関し、"psirt@cisco.com" もしくは "security-alert@cisco.com" に お問い合わせいただくことはご遠慮ください。

サービス契約をお持ちのお客様

契約をお持ちのお客様は、通常のアップデート チャネルから アップグレード ソフトウェアを入手してください。 ほとんどのお客様は、Cisco のワールドワイドウェブサイト上の ソフトウェアセンターからアップグレードを入手することができます。 http://www.cisco.com

サードパーティのサポート会社をご利用のお客様

シスコ パートナー、正規販売代理店、サービス プロバイダーなど、 サードパーティのサポート会社と以前に契約していたか、または現在契約しており、 その会社から Cisco製品の提供または保守を受けているお客様は、 該当するサポート会社に連絡し、本脆弱性に関する適切な処置について指示と支援を受けてください。

回避策の効果は、使用製品、ネットワークトポロジー、トラフィックの性質や 組織の目的などのお客様の状況に依存します。影響製品が多種多様であるため、 回避策を実際に展開する前に、対象とするネットワークで適用する回避策が最適であるか、 お客様のサービスプロバイダーやサポート組織にご相談ください。

サービス契約をご利用でないお客様

Cisco から直接購入したが Cisco のサービス契約をご利用いただいていない場合、 また、サードパーティ ベンダーから購入したが修正済みソフトウェアを購入先から入手できない場合は、 Cisco Technical Assistance Center(TAC)に連絡してアップグレードを入手してください。 TAC の連絡先は次のとおりです。

  • +1 800 553 2447 (北米内からのフリー ダイヤル)
  • +1 408 526 7209 (北米以外からの有料通話)
  • 電子メール: tac@cisco.com

無料アップグレードの対象であることをご証明いただくために、 製品のシリアル番号を用意し、このお知らせのURLを知らせてください。 サポート契約をご利用でないお客様に対する無料アップグレードは、 TAC 経由でご要求いただく必要があります。

さまざまな言語向けの各地の電話番号、説明、電子メール アドレスなどの、 この他の TAC の連絡先情報については、 http://www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html を参照してください。

不正利用事例と公式発表

Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例とその公表は確認しておりません。

この脆弱性はCisco内部での脆弱性テストにより発見されました。 また私たちは、この脆弱性を弊社に報告いただいたことに対し、フリーランス コンサルタントの Jens Link 氏に感謝いたします。

この通知のステータス: FINAL

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証を示唆するものでもありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また Cisco Systems はいつでも本ドキュメントの変更や更新を実施する権利を有します。

後述する情報配信の URL を省略し、本アドバイザリの記述内容に関して、単独の転載や意訳を実施した場合には、 事実誤認ないし重要な情報の欠落を含む統制不可能な情報の伝搬が行われる可能性があります。

情報配信

本アドバイザリーは、以下のシスコのワールドワイドウェブサイト上に掲載されます。

http://www.cisco.com/warp/public/707/cisco-sa-20090325-ip.shtml

ワールドワイドのウェブ以外にも、次の電子メールおよび Usenet ニュースの受信者向けに、この通知のテキスト版がシスコ PSIRT PGP キーによるクリア署名つきで投稿されています。

  • cust-security-announce@cisco.com
  • first-bulletins@lists.first.org
  • bugtraq@securityfocus.com
  • vulnwatch@vulnwatch.org
  • cisco@spot.colorado.edu
  • cisco-nsp@puck.nether.net
  • full-disclosure@lists.grok.org.uk
  • comp.dcom.sys.cisco@newsgate.cisco.com

このアドバイザリに関する今後の更新は、いかなるものも Cisco のワールドワイドウェブに掲載される予定です。 しかしながら、前述のメーリングリストもしくは ニュースグループに 対し積極的に配信されるとは限りません。 この問題に関心があるお客様は上記 URL にて最新情報をご確認いただくことをお勧めいたします。

更新履歴

Revision 1.4

2009-June-25

Removed references to the March/09 combined fixed software table.

Revision 1.3

2009-June-1

Updated expected public availability date for release 12.4(23a).

Revision 1.2

2009-May-1

Updated expected public availability date for release 12.4(23a).

Revision 1.1

2009-March-30

Specifically called out Wireless Products as not affected

Revision 1.0

2009-March-25

Initial public release.

シスコセキュリティ手順

Cisco製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関する支援、およびCiscoからセキュリティ情報を入手するための登録方法について詳しく知るには、Ciscoワールドワイドウェブサイトの http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html にアクセスしてください。 このページにはCiscoのセキュリティ通知に関してメディアが問い合わせる際の指示が掲載されています。 全てのCiscoセキュリティアドバイザリは http://www.cisco.com/go/psirt で確認することができます。